playframework owasp前10名
我正在考虑将Play用于大型项目,因此,有没有人经过OWASP Top
10的久经考验的Play框架?您在Play框架中是否知道任何安全性问题?
问题答案:
在OWASP Top
10和Play上(此处提供一些信息):
- A1:注射
默认使用JPA并转义字符串
- A2:跨站点脚本(XSS)
从1.0.1版开始,Play的模板引擎会自动转义字符串
- A3:身份验证和会话管理中断
播放是无状态的,不涉及会话。Cookies受密码保护。通过散列将数据安全地存储在数据库(密码)上取决于用户,而不是框架
- A4:不安全的直接对象引用
同样,这取决于开发人员验证对允许资源的访问,而不是框架
- A5:跨站点请求伪造(CSRF)
POST请求允许使用真实性令牌来防止这种情况。当然,这取决于开发人员正确使用GET / POST
- A6:安全性配置错误
默认错误报告过程在生产中似乎很安全(没有堆栈跟踪泄漏)。唯一需要考虑的是路线中的“全部捕获”条目,但是应该在生产模式下将其注释掉
- A7:不安全的密码存储
开发人员负责加密数据库中的敏感信息
- A8:无法限制URL访问
开发人员必须实施安全限制(通过@Before,如本教程中所述),以禁止访问禁止的页面。
- A9:传输层保护不足
播放支持SSL
- A10:未经验证的重定向和转发
播放重定向是通过302而非硬编码的字符串进行的,因此应该避免这种情况。
TL;
DR:在框架可以完成所有工作的部分中,Play可以完成。在开发人员需要完成所有工作的部分中,开发人员需要完成所有工作。每个零件需要50%的零件,Play会提供其50%的零件。
让我们这样说:没有理由不考虑Play比其他Java框架安全性低。在许多情况下,您可以认为它更安全。而且,由于Play是易于开发,无状态和REST的框架,因此您将它弄乱的机会更少。
-
1、讲一下项目、用了哪些技术、实现了哪些功能、遇到什么困难 2、JS事件循环机制 3、JS原型和原型链 4、箭头函数与普通函数有什么区别 5、div中插入一千条span 6、虚拟DOM 7、v-for中key的作用 8、组件间通讯方式 9、Vue响应式的原理 10、浏览器渲染页面的流程 11、js模块化的方式 12、浏览器有哪些存储数据的方式 13、Vue3相对于Vue2有什么优化 14、有没有使
-
项目问题 懒加载如何实现(如果多滚动条怎么办) 学过哪些前端方向课程 如何学习 八股 position属性有哪些 如果absolute父元素没有定位怎么办 父元素是transform有什么影响 let const var区别 前端攻击方式有哪些以及如何预防 异步怎样实现 ES6字符串的方法列举一下 讲讲react和vue的区别 感觉是kpi 问的很随意 面试官着急下班的样子 20分钟左
-
自我介绍 简历问题: 如何实现登录验证 如何区分不同用户 预加载技术 虚拟长列表实现以及bug修补 公共组件封装 八股: CSS三栏布局有几种方式实现? JS获取宽高以及区别 盒子模型boxsizing Vue指令三要素以及如何实现 patch方法 原型 实例和构造函数分别代表什么? js创建对象有几种方法 反问 问项目比较多,我项目不太记得了改问八股 问的八股我也没背过 应该
-
约10分钟,主要在问vue相关的 自我介绍 社团项目技术选型如何进行 为什么选择用vue而不是react 什么情况下会选择用vue 是否有学习过vue的源码 vue2和vue3的区别 讲一下vue的生命周期 有哪些常用的生命周期,一般用来做什么 vuex用过没有,什么情况下会使用vuex 为什么选择用vuex来组件通信而不是使用全局变量 nextTick()有了解过吗 keep-alive的作用是
-
java方向,基础八股,15分钟 1.java基础的一些八股 2.线程池参数 3.mysql隔离级别和造成的影响 4.微服务组件 5.get post 6.springboot注解 7.异常有哪些 等等,总之都是一些基础八股,且完全不会深入 还问了实习遇到过什么困难
-
自我介绍 为什么选择这个专业 有无实习 项目问题 预加载 懒加载 axios底层实现原理 api(这个不太会) 如何自定义实现v-html (这个不太会) 如何添加DOM节点 mixing技术具体实现 八股 vue非父子通信方式(eventbus vuex) 跨域(proxy如何配置) 浏览器重绘与回流 CSS居中布局有几种实现方式 绝对定位(margin 外边距为自身宽高的一半 0.5x 0 0